Leggere in inglese

Condividi tramite


Controllo dell'applicazione Essential Eight

Questo articolo illustra in dettaglio i metodi per ottenere l'Australian Cyber Security Centre (ACSC) Essential Eight Maturity Model for Application Control, usando Microsoft App Locker e Windows Defender Application Control.

Perché seguire le linee guida per il controllo delle applicazioni ACSC Essential Eight?

Il controllo delle applicazioni è un approccio di sicurezza progettato per la protezione da codice dannoso in esecuzione nei sistemi. Quando questo approccio alla sicurezza viene implementato, garantisce che solo il codice approvato, ad esempio eseguibili, librerie software, script, programmi di installazione e driver, sia autorizzato a eseguire. Grazie alla sua efficacia, il controllo delle applicazioni è uno degli otto essenziali delle strategie di ACSC per mitigare gli incidenti di sicurezza informatica.

Controllo delle applicazioni

Il controllo delle applicazioni è un approccio di sicurezza progettato per la protezione da codice dannoso in esecuzione nei sistemi. Quando questo approccio alla sicurezza viene implementato, garantisce che solo il codice approvato, ad esempio eseguibili, librerie software, script, programmi di installazione e driver, sia autorizzato a eseguire.

Anche se il controllo delle applicazioni è progettato principalmente per impedire l'esecuzione e la diffusione di codice dannoso in un sistema, può anche impedire l'installazione e l'uso di applicazioni non approvate.

Raggiungimento dei requisiti del livello di maturità dell'organizzazione

  • Livello di maturità 1 (ML1): può essere ottenuto usando Microsoft AppLocker
  • Livelli di maturità 2 e 3 (ML2 & ML3): è possibile ottenere i livelli di maturità usando Microsoft Windows Defender Application Control

Implementazione del controllo dell'applicazione

L'implementazione del controllo dell'applicazione prevede i passaggi generali seguenti per un'organizzazione:

  • Identificazione delle applicazioni approvate
  • Sviluppo di regole di controllo delle applicazioni per garantire l'esecuzione solo di applicazioni approvate
  • Gestione delle regole di controllo dell'applicazione tramite un processo di gestione delle modifiche
  • Convalida frequente delle regole di controllo delle applicazioni

Quando si determina come applicare l'autorizzazione dell'applicazione all'interno dell'organizzazione, il Centro sicurezza informatica australiano considera i metodi seguenti adatti se implementati correttamente:

  • Regole hash di crittografia
  • Regole di certificazione del server di pubblicazione
  • Regole di percorso (quando le autorizzazioni del file system sono configurate per impedire la modifica non autorizzata delle autorizzazioni di cartelle e file, del contenuto della cartella e dei singoli file)

Il controllo delle applicazioni può impedire l'esecuzione non autorizzata di applicazioni non approvate. Il controllo dell'applicazione può anche contribuire all'identificazione dei tentativi da parte di un attore di minacce di eseguire codice dannoso in un sistema. La configurazione di WDAC per generare log eventi per esecuzioni autorizzate e non autorizzate può fornire informazioni preziose al centro operativo di sicurezza di un'organizzazione.

È importante notare che una soluzione di controllo delle applicazioni non sostituisce l'antivirus e altre soluzioni software di sicurezza già esistenti. WDAC funziona sempre in collaborazione con soluzioni antivirus come Antivirus Defender. L'uso di soluzioni di sicurezza Microsoft insieme contribuisce a un efficace approccio di difesa in profondità per impedire la compromissione dei sistemi.

Livelli di maturità (ML) per il controllo dell'applicazione

L'Australia Cyber Security Centre ha tre livelli di maturità per le loro strategie di mitigazione che costituiscono gli Otto essenziali. I livelli di maturità si basano sulla mitigazione dei livelli crescenti di mestieri usati da un attore di minaccia. Nel contesto del controllo dell'applicazione, l'Australia Cyber Security Centre determina ciò che è necessario per soddisfare ML 1, 2 e 3.

Controllo ISM Sep 2024 Livello di maturità Mitigazione
ISM-0109 3 I log eventi delle workstation vengono analizzati in modo tempestivo per rilevare gli eventi di cyber security.
ISM-0140 2, 3 Gli eventi imprevisti di sicurezza informatica vengono segnalati all'ASD il prima possibile dopo che si verificano o sono stati individuati.
ISM-0123 2, 3 Gli eventi imprevisti relativi alla sicurezza informatica vengono segnalati al Chief Information Security Officer, o a uno dei loro delegati, il prima possibile dopo che si sono verificati o sono stati individuati.
ISM-0843 1, 2, 3 Il controllo delle applicazioni viene implementato nelle workstation.
ISM-1490 2, 3 Il controllo delle applicazioni viene implementato nei server con connessione Internet.
ISM-1656 3 Il controllo delle applicazioni viene implementato nei server non con connessione Internet.
ISM-1544 2, 3 Viene implementato l'elenco di blocchi di applicazioni consigliato da Microsoft.
ISM-1657 1, 2, 3 Il controllo dell'applicazione limita l'esecuzione di eseguibili, librerie software, script, programmi di installazione, applicazioni HTML compilate e applet del pannello di controllo a un set approvato dall'organizzazione.
ISM-1658 3 Il controllo applicazione limita l'esecuzione dei driver a un set approvato dall'organizzazione.
ISM-1582 2, 3 I set di regole di controllo delle applicazioni vengono convalidati su base annuale o più frequente.
ISM-1659 3 Viene implementato l'elenco di blocchi di driver vulnerabili di Microsoft.
ISM-1660 2, 3 Gli eventi di controllo delle applicazioni consentiti e bloccati vengono registrati centralmente.
ISM-1815 2, 3 I log eventi sono protetti da modifiche ed eliminazioni non autorizzate.
ISM-1819 2, 3 In seguito all'identificazione di un evento imprevisto di sicurezza informatica, viene applicato il piano di risposta agli incidenti di sicurezza informatica.
ISM-1870 1, 2, 3 Il controllo applicazione viene applicato ai profili utente e alle cartelle temporanee usate dai sistemi operativi, dai Web browser e dai client di posta elettronica.
ISM-1871 2, 3 Il controllo applicazione viene applicato a tutte le posizioni diverse dai profili utente e dalle cartelle temporanee usate dai sistemi operativi, dai Web browser e dai client di posta elettronica.
ISM-1228 2, 3 Gli eventi di cyber security vengono analizzati in modo tempestivo per identificare gli eventi imprevisti di cyber security.
ISM-1906 2, 3 I log eventi dei server con connessione Internet vengono analizzati in modo tempestivo per rilevare gli eventi di cyber security.
ISM-1907 3 I log eventi dei server non connessi a Internet vengono analizzati in modo tempestivo per rilevare gli eventi di cyber security.
Controllo ISM Sep 2024 Livello di maturità Controllo Misura
ISM-0109 3 I log eventi delle workstation vengono analizzati in modo tempestivo per rilevare gli eventi di cyber security. Usare Defender per endpoint P2. I log eventi di Windows vengono acquisiti all'interno di Microsoft Sentinel e Microsoft Defender XDR usando eventi Sicurezza di Windows tramite soluzioni AMA o Eventi inoltrati di Windows.
ISM-0140 2, 3 Gli eventi imprevisti di sicurezza informatica vengono segnalati all'ASD il prima possibile dopo che si verificano o sono stati individuati. Non incluso nell'ambito di questo documento. Vedere la nota dopo questa tabella. 3
ISM-0123 2, 3 Gli eventi imprevisti relativi alla sicurezza informatica vengono segnalati al Chief Information Security Officer, o a uno dei loro delegati, il prima possibile dopo che si sono verificati o sono stati individuati. Non incluso nell'ambito di questo documento. Vedere la nota dopo questa tabella. 3
ISM-0843 1, 2, 3 Il controllo delle applicazioni viene implementato nelle workstation. Configurare e usare Windows Defender Application Control/AppLocker a seconda dei requisiti del livello di maturità dell'organizzazione.
ISM-1490 2, 3 Il controllo delle applicazioni viene implementato nei server con connessione Internet. Configurare e usare Windows Defender Application Control
ISM-1656 3 Il controllo delle applicazioni viene implementato nei server non con connessione Internet. Configurare e usare Windows Defender Application Control
ISM-1544 2, 3 Viene implementato l'elenco di blocchi di applicazioni consigliato da Microsoft. Vengono implementate le "regole di blocco consigliate" di Microsoft
ISM-1657 1, 2, 3 Il controllo dell'applicazione limita l'esecuzione di eseguibili, librerie software, script, programmi di installazione, applicazioni HTML compilate e applet del pannello di controllo a un set approvato dall'organizzazione. Microsoft consiglia di creare un elenco definito di regole di pubblicazione file o hash file all'interno di un criterio di controllo dell'applicazione. 1
ISM-1658 3 Il controllo applicazione limita l'esecuzione dei driver a un set approvato dall'organizzazione. L'integrità del codice protetta da Hypervisor è abilitata ed è predefinita per Windows 11 2022+
ISM-1582 2, 3 I set di regole di controllo delle applicazioni vengono convalidati su base annuale o più frequente. Non incluso nell'ambito di questo documento. Vedere la nota sotto questa tabella. 3
ISM-1659 3 Viene implementato l'elenco di blocchi di driver vulnerabili di Microsoft. Vengono implementate le "regole del blocco di driver consigliate" di Microsoft
ISM-1660 2, 3 Gli eventi di controllo dell'applicazione consentiti e bloccati vengono registrati centralmente. Usare Defender per endpoint P2. I log eventi di Windows vengono acquisiti all'interno di Microsoft Sentinel e Microsoft Defender XDR usando "eventi Sicurezza di Windows" tramite soluzioni AMA o "Eventi inoltrati di Windows".
ISM-1815 2, 3 I log eventi sono protetti da modifiche ed eliminazioni non autorizzate. Role-Based Controllo di accesso per Microsoft Defender XDR e Microsoft Sentinel viene applicato.
ISM-1819 2, 3 In seguito all'identificazione di un evento imprevisto di sicurezza informatica, viene applicato il piano di risposta agli incidenti di sicurezza informatica. Non incluso nell'ambito di questo documento.  Vedere la nota sotto questa tabella. 3
ISM-1870 1, 2, 3 Il controllo applicazione viene applicato ai profili utente e alle cartelle temporanee usate dai sistemi operativi, dai Web browser e dai client di posta elettronica. Microsoft consiglia di creare un elenco definito di regole di pubblicazione file o hash file all'interno di un criterio di controllo dell'applicazione. È possibile ottenere il livello di maturità 1 con Microsoft AppLocker. Il livello di maturità 2 e 3 richiede Windows Defender Application Control. 2
ISM-1871 2, 3 Il controllo applicazione viene applicato a tutte le posizioni diverse dai profili utente e dalle cartelle temporanee usate dai sistemi operativi, dai Web browser e dai client di posta elettronica. Implementazione e configurazione di Windows Defender Application Control
ISM-1228 2, 3 Gli eventi di cyber security vengono analizzati in modo tempestivo per identificare gli eventi imprevisti di cyber security. Non incluso nell'ambito di questo documento.  Vedere la nota dopo questa tabella. 3
ISM-1906 2, 3 I log eventi dei server con connessione Internet vengono analizzati in modo tempestivo per rilevare gli eventi di cyber security. Usare Defender per endpoint P2. I log eventi di Windows vengono acquisiti all'interno di Microsoft Sentinel e Microsoft Defender XDR usando eventi Sicurezza di Windows tramite soluzioni AMA o Eventi inoltrati di Windows.
ISM-1907 3 I log eventi dei server non connessi a Internet vengono analizzati in modo tempestivo per rilevare gli eventi di cyber security. Usare Defender per endpoint P2. I log eventi di Windows vengono acquisiti all'interno di Microsoft Sentinel e Microsoft Defender XDR usando eventi Sicurezza di Windows tramite soluzioni AMA o Eventi inoltrati di Windows.

Importante

1 Per soddisfare ISM-1657, Microsoft consiglia di creare un elenco definito di regole dell'editore di file o hash di file all'interno di un criterio di controllo dell'applicazione. Se le regole del percorso file sono troppo sfruttate, un'organizzazione deve assicurarsi che all'utente non venga impedita la modifica non autorizzata delle autorizzazioni per cartelle e file, del contenuto della cartella e dei singoli file. Ad esempio, l'utente non deve avere accesso in scrittura all'interno di NTFS nel percorso della regola del percorso file.

2 Per soddisfare ISM-1870, Microsoft consiglia di creare un elenco definito di regole dell'editore di file o hash di file all'interno di un criterio di controllo dell'applicazione. È possibile ottenere il livello di maturità 1 con Microsoft AppLocker. Il livello di maturità 2 e 3 ha un requisito per Windows Defender Application Control a causa dei requisiti ISM aggiuntivi. Le regole del percorso file non sono consigliate per ISM-1870 perché l'utente dispone dell'autorizzazione per il file system all'interno del profilo dell'utente e delle cartelle temporanee.

3 I controlli ISM-0140, 0123, 1582, 1819 e 1228 sono utenti primari e controlli di elaborazione. Microsoft consiglia di documentare e archiviare persone e processi come artefatti in Purview Compliance Manager, come parte di prove tecnologiche automatizzate per le verifiche di conformità di Essential 8.

Controllo dell'applicazione per Windows

Quale soluzione usare?

Microsoft consiglia ai clienti di implementare Windows Defender Application Control (WDAC) anziché AppLocker. Windows Defender Application Control sta subendo continui miglioramenti. Anche se AppLocker continua a ricevere correzioni di sicurezza, non riceve miglioramenti delle funzionalità.

AppLocker può tuttavia essere distribuito anche come complemento a Windows Defender Application Control per scenari come i dispositivi condivisi, in cui è importante impedire ad alcuni utenti di eseguire un'applicazione specifica. Microsoft consiglia all'organizzazione di applicare Windows Defender Application Control come livello più restrittivo possibile per l'organizzazione e di usare AppLocker per ottimizzare ulteriormente le restrizioni della modalità utente, se necessario.

Suggerimento

Anche se WDAC è preferibile, può essere più semplice e semplice per la maggior parte delle organizzazioni ottenere ML1 usando solo AppLocker come punto di partenza, entrambe le soluzioni sono gratuite.

AppLocker

AppLocker è stato introdotto con Windows 7 e consente all'organizzazione di controllare quali processi della modalità utente (applicazioni) possono essere eseguiti nei sistemi operativi Windows. I criteri di AppLocker possono essere applicati a tutti gli utenti di un sistema o a singoli utenti e gruppi con regole che possono essere definite in base a:

  • Regole hash di crittografia
  • Regole di certificazione del server di pubblicazione
  • Regole di percorso

I criteri di AppLocker possono essere creati in qualsiasi versione e aggiunta supportata del sistema operativo Windows e possono essere distribuiti usando Criteri di gruppo, PowerShell o una soluzione di Gestione dispositivi per dispositivi mobili.

Controllo di applicazioni di Windows Defender

Windows Defender Application Control (WDAC) è stato introdotto con Windows 10. Consente alle organizzazioni di controllare quali processi di modalità utente (applicazioni) e modalità kernel (driver) possono essere eseguiti nei sistemi operativi Windows. I criteri WDAC vengono applicati al sistema gestito nel suo complesso e interessano tutti gli utenti del dispositivo con regole che possono essere definite in base a:

  • Regole hash di crittografia
  • Regole di certificazione del server di pubblicazione
  • Regole percorso
  • Reputazione dell'applicazione determinata dal grafico di sicurezza intelligente di Microsoft
  • Identità del processo che ha avviato l'installazione dell'applicazione da parte del programma di installazione gestito

I criteri WDAC possono essere creati in qualsiasi edizione client supportata di Windows 10, Windows 11 o in Windows Server 2016 e versioni successive. I criteri WDAC possono essere distribuiti usando Criteri di gruppo, una soluzione di Gestione dispositivi per dispositivi mobili, Configuration Manager o PowerShell.

A causa di Windows as a Service di Microsoft per consentire lo sviluppo e la distribuzione di nuove funzionalità ai clienti, alcune funzionalità di WDAC sono disponibili solo in versioni specifiche di Windows.

Per informazioni dettagliate su Windows Defender Application Control e Applocker, vedi Controllo delle applicazioni di Windows Defender e Disponibilità delle funzionalità di AppLocker.

Controllo dell'applicazione Essential Eight con AppLocker per ML1

Usare AppLocker per ottenere ML1

Quando l'amministratore distribuisce un criterio AppLocker per il controllo dell'applicazione basato sull'utente, è possibile usare le regole seguenti come implementazione basata su percorso di esempio. Sono incluse le regole, l'imposizione delle regole e l'avvio automatico del servizio Application Identity.

Il suggerimento consiste nel bloccare (come minimo) i percorsi seguenti:

  • C:\Windows\Temp\*.*
  • %USERPROFILE%\AppData\Local\*.*
    • Aggiungere un'eccezione per %USERPROFILE%\AppData\Local\Microsoft\WindowsApps
  • %USERPROFILE%\AppData\Roaming\*.*

Per informazioni su AppLocker in ML1, vedere gli articoli seguenti:

Creazione di criteri di AppLocker per ottenere ML1

I criteri di Microsoft AppLocker possono essere creati usando diversi metodi. Microsoft consiglia di usare il progetto Microsoft Open Source AaronLocker per facilitare la creazione di criteri di AppLocker. AaronLocker consente la creazione e la manutenzione di un controllo delle applicazioni solido e rigoroso per AppLocker nel modo più semplice e pratico possibile, come l'uso del servizio script di PowerShell. AaronLocker è progettato per limitare l'esecuzione di programmi e script da parte di utenti non amministratori.

Per informazioni dettagliate su Aaronlocker, vedere AaronLocker: controllo efficace e pratico delle applicazioni per Windows.

Distribuzione dei criteri di AppLocker per ottenere ML1

Microsoft AppLocker può essere distribuito usando Microsoft Intune, Criteri di gruppo o PowerShell. Il metodo di distribuzione dipende dalla soluzione di gestione corrente dell'organizzazione.

Per informazioni dettagliate sulla distribuzione della casella di sicurezza delle app, vedere gli articoli seguenti:

Monitoraggio degli eventi dei criteri di AppLocker

Gli eventi correlati a Microsoft AppLocker vengono monitorati da una soluzione di gestione delle informazioni di sicurezza e degli eventi, ad esempio la Sentinel di Microsoft. Gli eventi vengono monitorati anche usando le informazioni di ricerca avanzate di Microsoft Defender per endpoint.

Microsoft Defender per endpoint: informazioni di riferimento su AppLocker

Microsoft Defender per endpoint acquisisce gli eventi seguenti in relazione a Microsoft AppLocker.

Nome ActionType ID origine evento
AppControlExecutableAudited 8003
AppControlExecutableBlocked 8004
AppControlPackagedAppAudited 8021
AppControlPackagedAppBlocked 8022
AppControlPackagedAppBlocked 8006
AppControlScriptBlocked 8007
AppControlCIScriptAudited 8001

Per informazioni dettagliate su Visualizzatore eventi e ricerca avanzata, vedere gli articoli seguenti:

Controllo dell'applicazione Essential Eight con WDAC per ML2

Microsoft sta delineando il processo di progettazione, la gestione del ciclo di vita, la distribuzione e le linee guida operative per soddisfare il controllo dell'applicazione Essential Eight ML2 e ML3 tramite WDAC.

I clienti con il requisito per Ml1 essential eight application control possono essere ottenuti usando Microsoft AppLocker.

Sono necessari i prerequisiti per l'uso di queste indicazioni:

  • Windows 11 22H2 Enterprise
  • Uso di Intune per la soluzione di gestione
  • Defender per endpoint, per la soluzione di sicurezza degli endpoint
  • Microsoft Sentinel per la gestione delle informazioni sulla sicurezza e degli eventi;
  • Autorizzazioni appropriate per gli amministratori nelle soluzioni usate in questo documento

WDAC nei sistemi operativi Windows Server non inclusi nell'ambito di questa guida. Le indicazioni per Windows Server devono essere fornite in una versione futura.

Requisiti di licenza

Il servizio correlato a M365 può trovarsi all'interno di Microsoft 365 e Office 365 descrizioni del servizio per comprendere i servizi necessari, le proposte di valore e i requisiti di licenza:

Descrizione dei servizi di Office 365 e Microsoft 365

Per informazioni sui prodotti associati a WDAC, vedere gli articoli seguenti:

Introduzione a WDAC

Progettazione dei criteri

Quando un'organizzazione inizia a pianificare WDAC, la considerazione delle decisioni di progettazione influisce sulla distribuzione dei criteri e sulla manutenzione dei criteri di controllo delle applicazioni.

WDAC deve essere usato come parte dei criteri di controllo delle applicazioni dell'organizzazione, se sono vere le condizioni seguenti:

  • È stata distribuita o si prevede di distribuire le versioni supportate di Windows nell'organizzazione
  • È necessario un controllo migliorato sull'accesso alle applicazioni dell'organizzazione e sui dati di accesso dell'utente
  • L'organizzazione ha un processo ben definito per la gestione e la distribuzione delle applicazioni
  • Sono disponibili risorse per testare i criteri in base ai requisiti dell'organizzazione
  • Sono disponibili risorse per coinvolgere l'Help Desk o creare un processo di self-help per i problemi di accesso alle applicazioni dell'utente finale
  • I requisiti del gruppo per la produttività, la gestibilità e la sicurezza possono essere controllati da criteri restrittivi

WDAC incorpora un concetto di "cerchio di fiducia". Ogni organizzazione ha una definizione diversa di "cerchio di trust" univoca per i propri requisiti aziendali. La definizione correlata di ACSC Essential 8 è il controllo ISM 1657: "Il controllo delle applicazioni limita l'esecuzione di eseguibili, librerie software, script, programmi di installazione, applicazioni HTML compilate e applet del pannello di controllo a un set approvato dall'organizzazione".

Microsoft fornisce diversi criteri di esempio in formato XML in Windows in %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies. I criteri di esempio Microsoft possono consentire all'organizzazione di iniziare da un criterio di base esistente e di aggiungere o rimuovere regole per compilare criteri personalizzati, se necessario.

Per altre informazioni sulla progettazione dei criteri, vedere gli articoli seguenti:

Formati dei criteri

WDAC supporta due formati di criteri:

  • Formato criterio singolo: formato di criteri originale rilasciato con Windows 10 RTM e Windows Server 2016. Il formato di criteri singoli supporta solo un singolo criterio attivo in un sistema in un determinato momento

  • Formato di criteri multipli (consigliato): questo formato di criteri è supportato in Windows 10 1903+, Windows 11 e Windows Server 2022. Un formato di criteri multipli consente una maggiore flessibilità per la distribuzione di Windows Defender Application Control e supporta fino a 32 criteri attivi in un dispositivo. Inoltre, consente gli scenari seguenti:

    • Applicare e controllare side-by-side: per convalidare le modifiche ai criteri prima di distribuire l'imposizione. Gli utenti possono distribuire criteri di base in modalità di controllo affiancati a criteri esistenti basati sulla modalità di imposizione
    • Più criteri di base: gli utenti possono applicare due o più criteri di base contemporaneamente
    • Criteri supplementari: gli utenti possono distribuire uno o più criteri supplementari per espandere un criterio di base. È possibile usare criteri supplementari per persone diverse all'interno dell'organizzazione, ad esempio risorse umane e IT

Microsoft consiglia l'utilizzo di più formati di criteri e l'uso di un solo formato di criteri per scenari ben definiti o in cui non sono possibili più formati di criteri, ad esempio Windows Server 2016 e Windows Server 2019.

Per informazioni dettagliate sui criteri di controllo WDAC, vedere Usare più criteri di controllo delle applicazioni di Windows Defender.

Regole dei criteri e regole dei file

WDAC contiene due concetti che sono:

  • Regole dei criteri WDAC: le regole dei criteri WDAC specificano configurazioni quali la modalità di controllo, il programma di installazione gestito, l'imposizione degli script, i criteri supplementari (formato più criteri), Reputation-Based intelligence (autorizzazione ISG/controllo app intelligente) e forse altri. Le regole dei criteri determinano anche se WDAC per i file binari sia in modalità kernel che in modalità utente
  • Regole del file WDAC: le regole dei file WDAC specificano l'autorizzazione e la riautorizzazione per l'esecuzione in Windows. Le regole di file supportano le regole hash, nome file, percorso file e server di pubblicazione consentono a un cliente di definire un set approvato dall'organizzazione di applicazioni consentite. La regola elabora prima tutte le regole di negazione esplicite trovate e quindi elabora tutte le regole di autorizzazione esplicite. Se non esiste alcuna regola deny o allow, WDAC verifica la presenza di un programma di installazione gestito. Infine, se nessuno di questi set esiste, WDAC si affida all'intelligence Reputation-Based

Per informazioni dettagliate sulle regole dei criteri e sulle regole dei file, vedere l'articolo seguente:

Creazione di criteri

Esistono due modi principali per creare criteri WDAC tramite PowerShell o WDAC Wizard:

  • PowerShell: i criteri WDAC vengono creati usando i cmdlet di integrità del codice configurabile in PowerShell. PowerShell consente a un professionista IT di automatizzare l'analisi del sistema dei criteri WDAC, che genera un XML dei criteri. PowerShell può essere usato per unire gli elenchi XML dei criteri, impostare regole dei criteri e aggiungere altre regole del file di criteri, se necessario. I cmdlet di integrità del codice configurabile possono essere usati anche per modificare i criteri di esempio WDAC in base ai requisiti dell'organizzazione.
  • Windows Defender Application Control Wizard (scelta consigliata): la procedura guidata dei criteri WDAC è un'applicazione desktop di Windows open source scritta in C# e aggregata come pacchetto MSIX. È stato creato per fornire sicurezza agli architetti della sicurezza e agli amministratori di sistema un mezzo più semplice per creare, modificare e unire i criteri di controllo delle applicazioni. Questo strumento usa i cmdlet di PowerShell ci di configurazione nel back-end, quindi i criteri di output dello strumento e dei cmdlet di PowerShell sono identici

Per informazioni dettagliate sulla creazione di criteri, vedere gli articoli seguenti:

Microsoft consiglia l'utilizzo della Creazione guidata controllo applicazioni di Windows Defender per l'implementazione di Essential Eight per il controllo delle applicazioni. In alternativa, PowerShell può essere usato dalle organizzazioni con requisiti avanzati in un modello operativo DevOps usando i criteri di esempio come base o che desiderano creare criteri per scenari ben definiti da un sistema di riferimento.

Ciclo di vita dei criteri

Prima che un'organizzazione inizi a implementare una soluzione di controllo delle applicazioni, è necessario considerare il modo in cui i criteri vengono gestiti e gestiti nel tempo. La maggior parte dei criteri WDAC si evolvono nel tempo e continuano attraverso un set di fasi identificabili durante la loro durata. Queste fasi includono:

  1. Definire i criteri e compilare una versione della modalità di controllo del codice XML del criterio. In modalità di controllo vengono generati eventi di blocco, ma l'esecuzione dei file non è impedita
  2. Distribuire i criteri della modalità di controllo nei sistemi previsti
  3. Monitorare gli eventi del blocco di controllo dai sistemi previsti e perfezionare le regole in base alle esigenze per risolvere i blocchi imprevisti/indesiderati
  4. Ripetere questi passaggi fino a quando gli eventi di blocco rimanenti non soddisfano le aspettative durante il controllo
  5. Generare la versione in modalità applicata dei criteri. In modalità imponi, ai file non definiti come consentiti dai criteri viene impedito l'esecuzione e vengono generati gli eventi di blocco corrispondenti
  6. Distribuire i criteri di applicazione della modalità nei sistemi previsti
  7. Ripetere tutti questi passaggi in modo continuo per risolvere eventuali azioni di blocco impreviste/indesiderate

Per gestire in modo efficace i criteri WDAC, è necessario archiviare e gestire i documenti XML dei criteri in un repository centrale. Microsoft consiglia una soluzione di controllo del codice sorgente, ad esempio GitHub o una soluzione di gestione dei documenti come SharePoint, che fornisce il controllo della versione.

Prerequisiti di WDAC per il programma di installazione gestito

Questa sezione è destinata a fornire indicazioni per i clienti sui requisiti di configurazione del programma di installazione gestito di WDAC tramite PowerShell e Microsoft Intune.

  • Esaminare La protezione dalle minacce di Windows consente automaticamente le app distribuite da un programma di installazione gestito con Windows Defender Application Control (/windows/security/threat-protection/windows-defender-application-control/configure-authorized-apps-deployed-with-a-managed-installer)

Nota

Questo script di esempio non usa AppLocker, pertanto le regole DENY non dannose non sono presenti dal passaggio 1. Questa configurazione di AppLocker verrà creata per tutti i dispositivi che richiedono il programma di installazione gestito.

  • Creare uno script di PowerShell che completa quanto segue:
    • Archiviare il codice XML di AppLocker
    • Esportare il codice XML di AppLocker
    • Impostare i criteri di AppLocker
    • Avviare il servizio AppLocker

Di seguito è riportato un esempio di script che può essere distribuito usando Intune estensioni di gestione: script di PowerShell:

$ScriptDir = Split-Path $script:MyInvocation.MyCommand.Path

$AppLockerMIPolicy = 
@"
<AppLockerPolicy Version="1">
<RuleCollection Type="ManagedInstaller" EnforcementMode="Enabled">
  <FilePublisherRule Id="55932f09-04b8-44ec-8e2d-3fc736500c56" Name="MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE version 1.39.200.2 or greater in MICROSOFT® INTUNE™ from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
        <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE">
          <BinaryVersionRange LowSection="1.39.200.2" HighSection="*" />
        </FilePublisherCondition>
  </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id="6ead5a35-5bac-4fe4-a0a4-be8885012f87" Name="CMM - CCMEXEC.EXE, 5.0.0.0+, Microsoft signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="CCMEXEC.EXE">
        <BinaryVersionRange LowSection="5.0.0.0" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id="8e23170d-e0b7-4711-b6d0-d208c960f30e" Name="CCM - CCMSETUP.EXE, 5.0.0.0+, Microsoft signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="CCMSETUP.EXE">
        <BinaryVersionRange LowSection="5.0.0.0" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>
  </RuleCollection> 
</AppLockerPolicy>
"@

$AppLockerMIPolicy | Out-File -FilePath $ScriptDir\AppLockerMIPolixy.xml
Set-AppLockerPolicy -XmlPolicy $ScriptDir\AppLockerMIPolixy.xml -Merge -ErrorAction SilentlyContinue
Start-Process -FilePath "$env:windir\System32\appidtel.exe" -ArgumentList "start -mionly" | Wait-Process
Remove-Item -Path $ScriptDir\AppLockerMIPolixy.xml

Importante

L'amministratore deve aggiungere lo script di configurazione ai criteri della regola file WDAC tramite Hash o Publisher.

Programma di installazione gestito di WDAC

Panoramica

La funzionalità di WDAC denominata programma di installazione gestita consente a un'organizzazione di bilanciare la sicurezza e la gestibilità quando si applicano i criteri di controllo delle applicazioni. In questo modo le applicazioni possono essere installate da una soluzione di distribuzione software, ad esempio Microsoft Configuration Manager o Intune.

Un errore comune è la configurazione della regola "programma di installazione gestito" all'interno dei criteri di WDAC è l'unico passaggio necessario. Questa operazione non è corretta e per il funzionamento di questa funzionalità è necessaria un'altra configurazione di AppLocker.

Il programma di installazione gestito usa una raccolta di regole all'interno di AppLocker per designare i file binari considerati attendibili dall'organizzazione per l'installazione dell'applicazione. Windows monitora il processo del file binario configurato e tutti i processi figlio che avvia durante il monitoraggio dei file associati scritti sul disco. Questi file vengono contrassegnati come originati da un programma di installazione gestito, pertanto possono essere eseguiti.

Distribuzione del programma di installazione gestito

La creazione dei criteri di AppLocker all'interno di Modifica oggetto Criteri di gruppo e i cmdlet di PowerShell di AppLocker non possono essere usati direttamente per creare regole per la raccolta di programmi di installazione gestiti. È necessario usare VS Code o un altro strumento dell'editor per creare una raccolta di regole del programma di installazione gestita.

Il provider di servizi di configurazione AppLocker (CSP) attualmente non supporta il tipo di raccolta di regole del programma di installazione gestito, pertanto i criteri di AppLocker devono essere in ingresso usando PowerShell per Microsoft Intune.

Poiché la funzionalità "Applicazione script" di Windows Defender Application Control è necessaria per soddisfare ISM-1657, l'imposizione degli script è necessaria per controllare PowerShell, VBscript, cscript, cscript, HSMTA e MSXML. Lo script di PowerShell per configurare il "programma di installazione gestito" deve trovarsi all'interno della regola dei criteri dei file WDAC usando Hash o Publisher.

Microsoft consiglia la configurazione del programma di installazione gestito per Microsoft Intune. Intune consente una gestione affidabile delle applicazioni incluse in un pacchetto usando Microsoft Intune senza dover aggiornare di frequente i criteri di Windows Defender Application Control.

Distribuzione di script di PowerShell per il programma di installazione gestito

La distribuzione di questo script di configurazione per il programma di installazione gestito può essere eseguita in due modi usando Microsoft Intune a seconda dello scenario:

  • Hash: l'hash dello script deve essere noto all'interno dei criteri file WDAC, in pacchetto e distribuito usando lo strumento di preparazione del contenuto Di Microsoft Win32 o la funzionalità Script di PowerShell all'interno di Microsoft Intune.
  • Firma del codice (server di pubblicazione): lo script di PowerShell è stato firmato da un'autorità attendibile e noto con i criteri file WDAC, in pacchetto e distribuito usando lo strumento di preparazione del contenuto Di Microsoft Win32 o la funzionalità Script di PowerShell all'interno di Microsoft Intune.

Per informazioni dettagliate sulla distribuzione di script di PowerShell, vedere gli articoli seguenti:

Creazione di criteri di controllo WDAC

Creare un criterio di controllo

Con le opzioni comprese e le decisioni di progettazione prese, l'organizzazione è in grado di creare i primi criteri di controllo usando la Creazione guidata controllo app di Windows Defender:

  1. Aprire la Creazione guidata controllo app di Windows Defender e selezionare "Creatore di criteri".

  2. In Policy Creator selezionare Multiple Policy Format (Formato più criteri ) e Base Policy (Criteri di base ) e quindi Next (Avanti).

  3. All'interno del modello di criteri vengono presentate tre opzioni:

    • La modalità Windows predefinita include il sistema operativo Windows, le app dello Store, Microsoft 365 Apps per enterprise (Office 365 Pro Plus) e i driver del kernel con firma WHQL.
    • Consenti la modalità Microsoft include tutte le sezioni all'interno della modalità Predefinita di Windows e tutte le applicazioni firmate da Microsoft.
    • La modalità firmata e attendibile include tutte le sezioni precedenti e Reputation-Based intelligence.

Importante

Reputation-Based Intelligence per il controllo delle applicazioni non soddisfa il controllo delle applicazioni Essential Eight a causa del requisito "Set approvato dall'organizzazione" (ISM 1657) e "I set di regole di controllo delle applicazioni vengono convalidati su base annuale o più frequente" (ISM 1582). Questa funzionalità all'interno di WDAC non soddisfa i requisiti per ML2 o ML3. Microsoft consiglia l'uso di Reputation-Based Intelligence per l'adozione di WDAC da parte dell'organizzazione al di fuori del contesto del controllo delle applicazioni Essential Eight.

  1. Selezionare Modalità Windows predefinita o Consenti modalità Microsoft a seconda dei requisiti dell'organizzazione. Per questo documento, Microsoft usa la modalità Consenti Microsoft.
  2. Modificare il nome e il percorso dei criteri in base al nome e al percorso del file dei criteri desiderati per archiviare il file e selezionare Avanti.

Nota

Informazioni dettagliate su WDAC - Regole dei criteri sono disponibili qui.

  • Disabilitare il set di imposizione script su "Disabilitato" è necessario per ISM 1657 e 1658 per controllare script, applicazioni HTML e HTML rispettate.
  • Intelligent Security Graph impostato su "Disabled" è necessario per ISM 1657, 1658 e 1582.
  • È consigliabile che il programma di installazione gestito sia "Abilitato" per assistere un'organizzazione con il ciclo di vita dei criteri WDAC.
  • L'integrità del codice in modalità utente è necessaria per l'applicazione dei criteri WDAC sia per i file binari in modalità kernel che per i file binari in modalità utente.
  • Allow Supplement Policies è necessario per usare il formato multi-criterio per assistere un'organizzazione con il ciclo di vita dei criteri WDAC.

Nota

Tutte le altre regole dei criteri WDAC dipendono dai requisiti all'interno di un'organizzazione.

  1. All'interno delle regole di firma, l'amministratore è in grado di visualizzare tutti i certificati Microsoft aggiunti come Consenti regole del server di pubblicazione. Più avanti in questo articolo verrà illustrata l'aggiunta di una regola personalizzata .
  2. Seleziona Avanti.

La Creazione guidata controllo app di Windows Defender genera:

  • XML dei criteri
  • {GUID}. CIP

Informazioni dettagliate su WDAC - Regole dei criteri sono disponibili qui.

Nota

Ogni criterio generato tramite la Creazione guidata controllo app di Windows Defender ottiene un nuovo GUID (Globally Unique Identifier).

I criteri WDAC sono stati creati correttamente.

XML dei criteri

Poiché l'organizzazione ha creato i criteri WDAC usando la Creazione guidata WDAC, l'organizzazione è in grado di visualizzare il contesto di questo file all'interno di un editor di testo. Il codice XML è suddiviso in diverse sezioni, per il contesto di Essential Eight prendere nota di PolicyID e BasePolicyID.

Nota

Anche se è possibile modificare direttamente il codice XML dei criteri. Microsoft consiglia di apportare tutte le modifiche aggiuntive alle regole dei criteri o ai file di firma usando la Creazione guidata controllo app di Windows Defender o i cmdlet configurabili per l'integrità del codice in PowerShell.

Distribuzione dei criteri di controllo WDAC

Distribuire i criteri di controllo di WDAC tramite Intune

Ora che l'organizzazione ha creato un criterio di controllo, è il momento di distribuirlo usando Intune gestione dei dispositivi.

  1. Accedere all Intune a interfaccia di amministrazione.
  2. All'interno Intune'interfaccia di amministrazione passare a Dispositivi e quindi a Profili di configurazione.
  3. Creare quindi una piattaforma di profili>, Windows 10 o versione successiva, Modelli di tipo profilo e Personalizzato.
  4. Creare un nome per il criterio, ad esempio 'Controllo applicazione - Microsoft Allow – Controllo', e selezionare Avanti.
  5. In Impostazioni URI OMA selezionare Aggiungi.

Nota

Queste informazioni dipendono dall'ID criteri generato dalla Creazione guidata controllo app di Windows >Defender per il codice XML dei criteri creato da "Crea criteri di controllo" nella sezione precedente:

- Name = Microsoft Allow Audit
- OMA-URL = ./Vendor/MSFT/ApplicationControl/Policies/CB46B243-C19C-4870-B098-A2080923755C/Policy
- Tipo di dati = Base64 (file)

  1. Quando la Creazione guidata controllo app di Windows Defender ha generato il codice XML dei criteri, è stato creato anche un (GUID). File CIP. Il file CIP deve essere copiato e rinominare l'estensione del file in . BIN, ad esempio {CB46B243-C19C-4870-B098-A2080923755C}.bin.
  2. Caricare il BIN in Base64 (File).
  3. Selezionare Salva.
  4. Seguire le istruzioni per creare il profilo di configurazione.
  5. Distribuire i criteri creati, ad esempio "Controllo applicazioni - Microsoft Consenti - Controllo", Profilo di configurazione nel sistema previsto.

WDAC : monitoraggio dei criteri di controllo

Dopo il ciclo di vita dei criteri WDAC, l'organizzazione deve esaminare gli eventi generati dal criterio "Consenti controllo Microsoft". Il monitoraggio dei criteri di controllo WDAC può essere ottenuto con due metodi:

  • ID evento controllo applicazione: gli ID evento del controllo applicazione sono il metodo tradizionale per esaminare gli eventi controllati in un sistema operativo Windows. Questi ID evento possono essere inoltrati a una posizione centralizzata usando l'inoltro del log eventi di Windows o le informazioni di sicurezza di terze parti e la gestione degli eventi.

Per informazioni sugli ID evento, vedere Informazioni sugli ID evento di controllo delle applicazioni - Sicurezza di Windows.

Microsoft consiglia di usare l'integrazione Microsoft Defender XDR (MDE) per Microsoft Sentinel. MDE e Sentinel consentono di archiviare i dati di telemetria di Ricerca avanzata per più di 30 giorni rispetto al Microsoft Defender per endpoint.

Per informazioni dettagliate sulle connessioni e il monitoraggio, vedere gli articoli seguenti:

Monitoraggio di WDAC con Microsoft Defender per endpoint

L'esempio seguente illustra che un utente ha diverse applicazioni usate per le attività quotidiane di un'organizzazione. L'esempio contiene applicazioni Microsoft e varie applicazioni open source.

Poiché l'esempio è in modalità di controllo di imposizione, l'amministratore (ma non influisce sull'utente) può notare che gli eventi attivati per WinSCP, VLC, Putty e FileZilla non fanno parte dei criteri di controllo iniziali.

Ora, usando il portale di Microsoft Defender, immettere Ricerca avanzata per limitare gli eventi di controllo per comprendere quali blocchi imprevisti/indesiderati si verificherebbero se la modalità di controllo fosse disabilitata e quindi applicata in modalità di applicazione all'interno di questo esempio.

Screenshot della ricerca avanzata.

Usando lo schema di riferimento della pagina precedente, cercare tutti gli eventi di controllo dei criteri attivati da WDAC negli ultimi sette giorni e presentare informazioni rilevanti usando la query KQL (Keyboard Query Language) di esempio:

DeviceEvents 
| where ActionType startswith "AppControlCodeIntegrityPolicyAudited"
| where Timestamp > ago(7d)
| project DeviceId,                                  // The device ID where the audit block happened
    FileName,                                        // The audit blocked app's filename
    FolderPath,                                      // The audit blocked app's system path without the FileName
    InitiatingProcessFileName,                       // The file name of the parent process loading the executable
    InitiatingProcessVersionInfoCompanyName,         // The company name of the parent process loading the executable
    InitiatingProcessVersionInfoOriginalFileName,    // The original file name of the parent process loading the executable
    InitiatingProcessVersionInfoProductName,         // The product name of the parent process loading the executable
    InitiatingProcessSHA256,                         // The SHA256 flat hash of the parent process loading the executable
    Timestamp,                                       // The event creation timestamp
    ReportId,                                        // The report ID - randomly generated by MDE AH
    InitiatingProcessVersionInfoProductVersion,      // The product version of the parent process loading the executable
    InitiatingProcessVersionInfoFileDescription,     // The file description of the parent process loading the executable
    AdditionalFields                                 // Additional fields contains FQBN for signed binaries.  These contain the CN of the leaf certificate, product name, original filename and version of the audited binary

Di seguito è riportato un esempio di output che usa la query KQL precedente.

Screenshot dell'output di Ricerca avanzata.

All'interno dei record è disponibile un report dettagliato di informazioni quali l'albero dei processi, il percorso del file, le informazioni SHA, il firmatario e le informazioni sull'autorità di certificazione.

Il passaggio successivo consiste nel restringere i risultati.

Usando la stessa query KQL, aggiungere un altro campo in cui Nome file processo di avvio è Esplora risorse. La query KQL visualizza le applicazioni eseguite dagli utenti all'interno dell'interfaccia utente grafica.

 DeviceEvents 
| where ActionType startswith "AppControlCodeIntegrityPolicyAudited"
| where Timestamp > ago(7d)
| where InitiatingProcessFileName startswith "explorer.exe" // Users starting an Application via File Explorer / GUI
| project DeviceId,                                  // The device ID where the audit block happened
    FileName,                                        // The audit blocked app's filename
    FolderPath,                                      // The audit blocked app's system path without the FileName
    InitiatingProcessFileName,                       // The file name of the parent process loading the executable
    InitiatingProcessVersionInfoCompanyName,         // The company name of the parent process loading the executable
    InitiatingProcessVersionInfoOriginalFileName,    // The original file name of the parent process loading the executable
    InitiatingProcessVersionInfoProductName,         // The product name of the parent process loading the executable
    InitiatingProcessSHA256,                         // The SHA256 flat hash of the parent process loading the executable
    Timestamp,                                       // The event creation timestamp
    ReportId,                                        // The report ID - randomly generated by MDE AH
    InitiatingProcessVersionInfoProductVersion,      // The product version of the parent process loading the executable
    InitiatingProcessVersionInfoFileDescription,     // The file description of the parent process loading the executable
    AdditionalFields                                 // Additional fields contains FQBN for signed binaries.  These contain the CN of the leaf certificate, product name, original filename and version of the audited binary

Di seguito è riportato un esempio di output che usa la query KQL precedente. Screenshot dell'output della query.

L'azione di query KQL ha ora ristretto le informazioni a un set di dati più di gestione. Ciò che si può vedere sono le applicazioni usate dai sistemi previsti. Queste applicazioni devono essere aggiunte ai criteri dell'organizzazione o essere considerate come aggiunte tramite il controllo delle modifiche dell'organizzazione.

Nota

KQL è un potente strumento per visualizzare set di dati non strutturati e strutturati. Questo è solo un esempio di uso di KQL e Microsoft consiglia di esaminare la documentazione seguente: Informazioni sul linguaggio di query di ricerca avanzato in Microsoft Defender XDR

WDAC : aggiornare i criteri di controllo

Aggiornare i criteri di controllo usando la procedura guidata Microsoft Defender per endpoint e WDAC

Con un restringito dei risultati della ricerca usando KQL, il passaggio successivo consiste nell'aggiornare i criteri di base WDAC o usare un criterio di integrazione. L'esempio successivo usa i criteri di integrazione.

  1. Aprire la Creazione guidata controllo app di Windows Defender e selezionare Creatore di criteri.

  2. In Creatore di criteri selezionare Formato criteri multipli e Criteri supplementari, passare ai criteri di base, aggiornare il percorso per salvare i criteri supplementari e selezionare Avanti.

  3. Selezionare Avanti in Regole dei criteri.

  4. In Regole di firma dei criteri selezionare Regola personalizzata.

  5. All'interno delle condizioni delle regole personalizzate sono disponibili molte opzioni:

    • Regola della modalità utente dell'ambito regola/regola modalità kernel
    • Azione regola: Consenti/Nega
    • Tipo di regola
      • Server di pubblicazione (scelta consigliata)
      • File
      • Attributo file
      • App in pacchetto
      • Hash
    • File di riferimento

Nota

Microsoft consiglia di usare le regole basate sul server di pubblicazione, se necessario, e di tornare alle regole basate su hash per i file di riferimento non firmati per implementare il controllo delle applicazioni Essential Eight.

Uso di Microsoft Defender per endpoint

  1. Cercare Nome file in Cerca e passare al file Informazioni e scaricare il file. Screenshot dell'aggiornamento dei criteri di controllo 2.
  2. Esaminare il record direttamente da Ricerca avanzata e scaricare il file che quindi scarica i file binari necessari. Screenshot dell'aggiornamento dei criteri di controllo 3.
  3. Con i file binari necessari, continuare a creare un altro criterio per le applicazioni ISV dell'organizzazione.
  4. In Windows Defender App Control Wizard selezionare il tipo di regola desiderato e passare ai file binari di riferimento del passaggio precedente. Nell'esempio seguente viene illustrato che il codice VLC soddisfa le informazioni sul server di pubblicazione necessarie. Screenshot dell'aggiornamento dei criteri di controllo 4.

Nota

Microsoft consiglia a Autorità di certificazione emittente di essere selettiva almeno per la creazione di una regola basata su server di pubblicazione. Il nome del prodotto può essere incluso ed è consigliato da ACSC per le regole basate su server di pubblicazione.

  1. Premere Avanti e Crea.
  2. Distribuire questo criterio supplementare usando la procedura descritta in precedenza nella sezione "Distribuire i criteri di controllo delle applicazioni di Windows Defender tramite Microsoft Intune".

WDAC: passare a applicare i criteri

Per passare all'applicazione dei criteri:

  1. Aprire la Creazione guidata controllo app di Windows Defender e selezionare Criteri Editor.

  2. Passare al codice XML dei criteri da modificare per l'applicazione.

  3. Disabilitare l'opzione Modalità di controllo all'interno delle regole dei criteri.

  4. Selezionare Avanti in Regole dei criteri.

  5. Viene creato un criterio di aggiornamento con un numero di versione modificato ed è stato creato un nuovo file CIP.

  6. In Microsoft Endpoint Manager Amministrazione Center passare a Dispositivi e quindi profili di configurazione.

  7. Creare quindi un profilo, una piattaforma – Windows 10 o successiva, modelli di tipo profilo e personalizzati.

  8. Creare un nome per il criterio, ad esempio Controllo applicazione - Imponi criteri e selezionare Avanti.

  9. In Impostazioni URI OMA selezionare Aggiungi.

    Nota

    Queste informazioni dipendono dall'ID criteri generato dalla Creazione guidata controllo app di Windows Defender per l'XML dei criteri creato dalla sezione di controllo di creazione precedente.

    - Name = Microsoft Allow Enforce
    - OMA-URL = ./Vendor/MSFT/ApplicationControl/Policies/CB46B243-C19C-4870-B098-A2080923755C/Policy
    - Tipo di dati = Base64 (file)

  10. Quando la Creazione guidata controllo app di Windows Defender ha generato il codice XML dei criteri, è stato creato anche un (GUID). File CIP. Il passaggio successivo consiste nel copiare questo file CIP e rinominare l'estensione del file in . BIN, ad esempio {CB46B243-C19C-4870-B098-A2080923755C}.bin.

  11. Caricare il BIN in Base64 (File).

  12. Selezionare Salva.

  13. Seguire le istruzioni per creare il profilo di configurazione.

  14. Distribuire il controllo dell'applicazione: applicare il profilo di configurazione dei criteri al sistema previsto.

    Nota

    L'amministratore deve escludere l'applicazione creata in precedenza - Criteri di controllo dal sistema previsto che viene impostato per l'applicazione